НИКОГДА, НИКОГДА, НИКОГДА не создавайте такой оператор SQL. Это широко открытое для SQL-инъекции.
Я добавляю это как ответ, так как это такая фундаментальная ошибка, что вам, вероятно, придется переписать большую часть вашей программы.
Это не то, как вы поставляете параметры в оператор SQL, и не стоит никого отвечать на ваш вопрос, поскольку вы должны использовать параметризованные запросы, которые, вероятно, также помогут устранить вашу проблему.